AI Act: Guida Completa al Regolamento Europeo IA
AI Act (Reg. UE 2024/1689): classificazione del rischio, obblighi per aziende, sanzioni fino al 35M e scadenze 2025-2027. Guida completa aggiornata.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law
Cos'è l'AI Act (Regolamento UE 2024/1689)?
L'AI Act è il framework normativo dell'Unione Europea che disciplina lo sviluppo e l'uso dell'Intelligenza Artificiale. Basato su un approccio decrescente di rischio (da inaccettabile a minimo), impone regole stringenti su governance e trasparenza, con sanzioni massime fino a 35 milioni di euro o al 7% del fatturato. I dati ISTAT 2025 mostrano che il 16,4% delle aziende italiane usa già l'IA, ma il 47% denuncia scarsa chiarezza normativa, rendendo urgente l'adeguamento.
L'AI Act (Regolamento UE 2024/1689) è il primo framework normativo al mondo che disciplina lo sviluppo e l'utilizzo dei sistemi di intelligenza artificiale. In Italia, la Legge 132/2025 ha ufficializzato l'assetto istituzionale, designando l'Agenzia per la Cybersicurezza Nazionale (ACN) come autorità nazionale di vigilanza con poteri ispettivi e sanzionatori.
Testo ufficiale: Regolamento (UE) 2024/1689 - EUR-Lex · Autorità italiana: ACN - agenzia-cybersicurezza-nazionale.gov.it · Autorità di notifica: AgID - Agenzia per l'Italia Digitale
Il Regolamento è entrato in vigore il 1° agosto 2024 e prevede un'applicazione per fasi: i divieti (Art. 5) sono operativi da febbraio 2025, mentre gli obblighi per i modelli GPAI scattano ad agosto 2025. L'Agenzia per la Cybersicurezza Nazionale (ACN) ha già pubblicato i primi protocolli per la registrazione dei sistemi AI ad alto rischio in Italia.
Cos'è l'AI Act e perché è obbligatorio per le aziende?
L'AI Act (Regolamento UE 2024/1689) è la prima normativa europea che classifica i sistemi AI per rischio e impone obblighi proporzionali dal 2 agosto 2026. Nasce dall'esigenza di bilanciare innovazione con protezione dei diritti fondamentali. Non è una formalità: chi viola rischia sanzioni fino a €35 milioni o il 7% del fatturato globale.
A chi si applica l'AI Act e quali sono i soggetti vincolati?
L'AI Act si applica a provider, deployer, importatori e distributori di sistemi AI immessi sul mercato UE, indipendentemente da sede e nazionalità (Art. 2, Reg. UE 2024/1689). Per startup italiane, l'obbligo principale scatta dal 2 agosto 2026. Anche società extra-UE i cui output sono utilizzati in Europa rimangono vincolate.
Come funziona la classificazione del rischio nell'AI Act?
L'AI Act classifica i sistemi AI in 4 categorie di rischio: vietato, alto, limitato, minimo (Art. 6–37). Maggiore il rischio per diritti fondamentali, più stringenti gli obblighi di documentazione, testing e trasparenza. Un chatbot per customer service = rischio minimo; un sistema di selezione del personale = rischio alto (monitora bias).
Rischio Inaccettabile — Sistemi Vietati (Art. 5)
Alcune pratiche di AI sono considerate una minaccia inaccettabile e sono vietate in modo assoluto a partire dal 2 febbraio 2025:
- Manipolazione subliminale: sistemi che utilizzano tecniche subliminali per distorcere il comportamento
- Sfruttamento di vulnerabilità: sistemi che sfruttano l'età, la disabilità o la situazione sociale
- Social scoring governativo: sistemi di classificazione sociale basati sul comportamento
- Identificazione biometrica remota in tempo reale in spazi pubblici (salvo eccezioni tassative)
- Polizia predittiva basata esclusivamente su profilazione o tratti della personalità
- Riconoscimento delle emozioni sul posto di lavoro e nelle istituzioni scolastiche
- Categorizzazione biometrica per dedurre dati sensibili (razza, opinioni politiche, orientamento sessuale)
Rischio Alto — Obblighi Stringenti (Art. 6-49, Allegati I e III)
I sistemi ad alto rischio sono il cuore della conformità aziendale. Ho rilevato che molte aziende italiane sottovalutano la portata dell'Allegato III: sistemi apparentemente innocui per lo screening dei CV o la gestione del personale diventano 'alto rischio' con oneri documentali imponenti.
Si dividono in due categorie:
Allegato I - Sistemi AI che sono componenti di sicurezza di prodotti regolati (dispositivi medici, macchine, giocattoli, veicoli, ecc.).
Allegato III - Sistemi AI utilizzati in ambiti critici:
- Identificazione biometrica
- Gestione di infrastrutture critiche (energia, acqua, trasporti, digitale)
- Istruzione e formazione professionale
- Occupazione e gestione dei lavoratori (selezione, promozione, licenziamento)
- Accesso a servizi essenziali (credito, assicurazioni, servizi pubblici)
- Attività di contrasto
- Migrazione e controllo delle frontiere
- Amministrazione della giustizia
Obblighi per i sistemi ad alto rischio (Art. 8-15):
| Obbligo | Riferimento | Contenuto |
|---|---|---|
| Sistema di gestione dei rischi | Art. 9 | Identificazione, analisi, stima e mitigazione dei rischi |
| Governance dei dati | Art. 10 | I dataset devono essere pertinenti, rappresentativi e privi di bias |
| Documentazione tecnica | Art. 11 | Descrizione completa dell'architettura e delle prestazioni |
| Registrazione automatica (log) | Art. 12 | Tracciabilità obbligatoria degli eventi rilevanti |
| Trasparenza | Art. 13 | Istruzioni per l'uso chiare per il deployer |
| Supervisione umana | Art. 14 | Il sistema deve consentire il 'kill switch' umano |
| Accuratezza e Cybersicurezza | Art. 15 | Resilienza misurabile agli attacchi (es. adversarial attacks) |
La piena applicazione per i sistemi ad alto rischio decorre dal 2 agosto 2026 (aggiornato dal Digital Omnibus al 2027 per alcune categorie).
Assistenza Legale: Se la tua azienda sviluppa o utilizza sistemi AI, puoi richiedere una consulenza professionale per la compliance AI Act per classificare correttamente il rischio.
Rischio Limitato — Obblighi di Trasparenza (Art. 50)
Per sistemi come i chatbot o la generazione di deepfake, l'obbligo principale è informare l'utente: "Stai interagendo con un'AI" o "Questo contenuto è stato manipolato artificialmente". La violazione di questo obbligo mina la fiducia del brand e può portare a sanzioni per pratiche commerciali scorrette.
Rischio Minimo — Nessun Obbligo Specifico
La maggior parte dei sistemi AI (filtri spam, raccomandazioni) non ha obblighi specifici, ma incoraggiamo l'adozione di codici di condotta per prevenire futuri rischi reputazionali.
Quali sono gli obblighi per i modelli AI General-Purpose (GPAI)?
I fornitori di modelli generali (GPT, Claude, Gemini) devono documentare training data, design e limitazioni (Art. 51-53). Specificamente: bias testing, trasparenza su fonti di addestramento, politiche di uso scorretto. Se il modello è usato in EU, la compliance è richiesta dal 2 agosto 2026, anche se prodotto fuori EU.
Quali sono le sanzioni e le scadenze dell'AI Act in Italia?
| Violazione | Sanzione Massima | Riferimento |
|---|---|---|
| Pratiche vietate | 35 mln € o 7% fatturato | Art. 99, par. 3 |
| Altre violazioni | 15 mln € o 3% fatturato | Art. 99, par. 4 |
| Informazioni inesatte | 7,5 mln € o 1% fatturato | Art. 99, par. 5 |
Le sanzioni AI Act in Italia raggiungono fino a €35 milioni o il 7% del fatturato globale per violazioni gravi (Art. 99, Legge 132/2025). Per startup e PMI, l'Autorità applica il valore più basso tra cifra fissa e percentuale. Scadenza piena applicabilità: 2 agosto 2026. Già oggi vale il divieto su sistemi vietati (Art. 5).
Tempistiche legali inderogabili
- 1° agosto 2024: Entrata in vigore
- 2 febbraio 2025: Divieto pratiche vietate
- 2 agosto 2025: Obblighi GPAI e nomina autorità nazionali
- 2 agosto 2026: Piena applicazione per sistemi ad alto rischio
L'Implementazione in Italia: Il ruolo di ACN e AgID
L'Italia ha designato ACN (Agenzia per la Cybersicurezza Nazionale) e AgID (Agenzia per l'Italia Digitale) con Legge 132/2025 come autorità responsabili dell'AI Act. ACN esercita vigilanza di mercato, ispezioni e sanzioni sui sistemi AI; AgID è autorità nazionale di notifica e valutazione dei soggetti di conformità. Il Garante Privacy mantiene competenze su dati personali con coordinamento tramite Comitato presso Presidenza del Consiglio.
AI Act e GDPR: In che modo interagiscono?
L'AI Act non sostituisce il GDPR ma lo integra: quando un'AI tratta dati personali, entrambi gli obblighi si applicano cumulativamente (non alternativamente). Se sviluppi un sistema di credit scoring con IA, devi fare sia la DPIA (GDPR, dati) che la FRIA (AI Act, diritti fondamentali). Le scadenze sono indipendenti: GDPR vale già; AI Act da agosto 2026.
Domande Frequenti (FAQ)
L'AI Act si applica anche alle aziende italiane che usano AI di terzi (es. ChatGPT, Copilot)? Sì. Le aziende che integrano sistemi AI in prodotti o servizi rivolti al mercato UE sono classificate come deployer e sono vincolate dagli obblighi dell'AI Act, indipendentemente da chi ha sviluppato il modello. I deployer devono assicurarsi che l'uso rientri nella destinazione d'uso prevista dal fornitore e rispettare gli obblighi di trasparenza applicabili.
Cos'è un sistema AI "ad alto rischio" secondo l'AI Act? È un sistema elencato nell'Allegato III del Regolamento o incorporato in un prodotto disciplinato dall'Allegato I. Rientrano in questa categoria i sistemi usati per selezione del personale, concessione di credito, accesso a servizi essenziali, istruzione e formazione, giustizia penale e migrazione. Per questi sistemi gli obblighi documentali e di governance sono i più stringenti del Regolamento.
Qual è la differenza tra fornitore e deployer nell'AI Act? Il provider (fornitore) è chi sviluppa o fa sviluppare un sistema AI e lo immette sul mercato. Il deployer è chi usa un sistema AI sotto la propria responsabilità per fornire un prodotto o servizio. Spesso le aziende italiane ricoprono il ruolo di deployer quando acquistano soluzioni AI da terzi e le integrano nei propri processi: in tal caso sono vincolate agli obblighi previsti per i deployer dal Regolamento.
Quando scatta l'obbligo di registrare un sistema AI ad alto rischio in Italia? A partire dal 2 agosto 2026 (con alcune categorie prorogate al 2027 dal Digital Omnibus), i fornitori di sistemi ad alto rischio dovranno registrarsi nella banca dati UE gestita dall'EU AI Office. In Italia, l'ACN (Agenzia per la Cybersicurezza Nazionale) è l'autorità designata per la vigilanza e la ricezione delle notifiche.
L'AI Act e il GDPR si sovrappongono? Quale prevale? Non si escludono a vicenda: si applicano entrambi quando un sistema AI tratta dati personali. Il GDPR disciplina la protezione dei dati; l'AI Act disciplina la sicurezza e la governance del sistema AI. In pratica, per i sistemi ad alto rischio che trattano dati personali è necessario integrare la DPIA (GDPR, Art. 35) con la valutazione d'impatto sui diritti fondamentali (FRIA) prevista dall'AI Act.
Approfondimenti consigliati:
- AI Act e sanzioni per le startup italiane
- Checklist operativa AI Act per aziende
- DPO interno vs esterno: guida alla scelta
Fonti: Regolamento (UE) 2024/1689 (Gazzetta Ufficiale UE); Legge 132/2025 (GURI).
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), esperto in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze